idbok

Appearance

OpenID Foundation FAPI WG 活動レポート (2024年4月)

執筆日: 2026-05-21(2024 年 4 月の活動を約 2 年遡って再構成した遡及レポートです)

1. 概要

FAPI (Financial-grade API) Working Group は、金融 API をはじめとする高保証用途向けに OAuth 2.0 / OpenID Connect のプロファイルを策定する OpenID Foundation のワーキンググループである。FAPI は単一仕様の名称ではなく、Baseline / Advanced(FAPI 1)と Security Profile / Attacker Model(FAPI 2)からなる仕様ファミリーで、UK Open Banking、Brazil Open Finance、Australia の CDR など各国の金融 API 標準の参照ベースとして採用されてきた。2024 年 4 月時点の共同議長は Nat Sakimura (NAT Consulting)、Dave Tonge (Moneyhub)、Dima Postnikov、Anoop Saxena (Intuit) の 4 名。エディタ作業は Daniel Fett (Authlete)、Dave Tonge、Joseph Heenan (Authlete) を中心に進められていた。

2024 年 4 月の FAPI WG は、4 月 24 日に Dave Tonge が FAPI 2.0 Security Profile の Working Group Last Call (WGLC) を起動した月 である。Tonge は FAPI WG ML に Working Group Last Call - FAPI 2 Security Profile - Final (ML #003097) を投函し、「we have resolved all remaining issues for the FAPI2 security profile」と表明、レビュー対象ドラフト (fapi-2_0-security-profile.html) と issue 提出締切(5 月 6 日)を提示した。この WGLC 起動は、後に翌 5 月初週に Rifaat Shekh-Yusef (IETF OAuth WG 議長) が 6 項目の技術レビューコメントを投函して再周知することで本格的な集中レビュー期間へと展開する流れの起点となった。

WGLC 起動と並行して、月後半 4/26 には Brian Campbell (Ping Identity) が 「Security Profile が FAPI 2.0 Attacker Model に normative dependency / reference を持つ以上、両仕様は同時に Final へ進むべきではないか」 という手続き上の本質的論点を提起し(ML #003100)、これを受けて 4/30 に Dave Tonge が Attacker Model も含めた WGLC を再周知(ML #003106)するという軌道修正が行われた。4 月末時点で WGLC の対象は Security Profile 単独から「Security Profile + Attacker Model」のペアへと拡張された ことが、本月の規範作業上の重要な転換点である。

もう一つの並行作業として、Mark Verstege (Australian Consumer Data Right 関連、後の ESCG 共同議長候補) が 4/23 に For review: FAPI 2 Explanatory Report for ISO PAS (ML #003095) を投函し、FAPI 2.0 を ISO Publicly Available Specification (PAS) として提出するための Explanatory Report ドラフト の WG 内レビューを 4/26 (金) 締切で呼びかけた。対象仕様は FAPI 2.0 Security Profile / Attacker Model / FAPI CIBA の 3 本で、Implementer's Drafts ではなく Final 版を ISO に提出する方針と、PAS mentor への送付目標を「4 月末から 5 月上旬」と明示している。本投稿は、翌 5 月初週に Hodari McClain が投函する FAPI 1.0 + JARM の ISO PAS Submission Draft レビュー依頼(2024-05 月次レポート §2-9 参照)と一連の OIDF / ISO 標準化連携プロセスの前段である。

技術的なトピックとしては、4/12 に Joseph Heenan が Issue #689: FAPI + FedCM (ML #003091) を起票し、W3C Federated Identity Credential Management (FedCM) API と FAPI / Open Banking の連携可能性 を WG に提起した。Heenan は (i) FedCM がブラウザの link decoration user tracking ブロックによる OAuth フロー破綻の修正パスである点と、(ii) FedCM がブラウザ / OS レベルで「過去に利用した銀行プロバイダーのキュレートリスト」を表示できる可能性によって、UK の 40 行超・Brazil の 100 行超を選択する「nascar issue」を解消できる可能性を指摘し、銀行・フィンテック関係者に W3C Federated Identity Community Group への参加を促した。これは後の Web 標準と FAPI のクロスオーバー議論の起点となる重要な問題提起である。

外部イベントとしては、4/15 に Google Sunnyvale キャンパスで OpenID Foundation Hybrid Workshop が開催 され、Nat Sakimura が 13:20〜13:35 PT の枠で FAPI WG Update を担当した(Workshop アジェンダ)。続く 4/16〜4/18 には Mountain View Computer History Museum で Internet Identity Workshop XXXVIII (IIW 38) が開催 され、Mike Jones と John Bradley が 4/18 に「Trust Establishment with OpenID Federation」セッションを共同主催した(Mike Jones による報告)。Sakimura は 4/17 の Atlantic コール案内 ML 投稿(ML #003092)で「a bunch of us are at IIW」と書き残しており、FAPI WG の主要メンバーの相当数が IIW 38 に現地参加していた ことが分かる。これによって 4/17 Atlantic コール (Sakimura 主催) の出席は手薄となり、コール自体は予定より早く終了した(ML #003093)。

openid-specs-fapi ML の 2024-April アーカイブ には全 23 件の投稿が収録されており、Atlantic コール / Pacific コールの開催リマインダーや会議運営メッセージが多くを占めるが、月後半(4/23〜4/30)にかけて WGLC 起動・ISO PAS Explanatory Report 依頼・Brian Campbell の手続き提起・Attacker Model を含む WGLC 再周知が連続して投函され、5 月以降の WGLC 集中審議期間に向けた土台が整えられた月である。

月内の主要な動きは以下のとおり(日時は ML 投稿の Date ヘッダ UTC を基準とする)。

2. 公開された仕様・ドラフト改訂

2024 年 4 月内に FAPI 2.0 Security Profile / Attacker Model / CIBA の新しい公開ドラフト版(Implementer's Draft 3 / Final ドラフト)は公開されていない。月の規範作業は WGLC の起動と、Final 化に向けた手続き上の確認 に集中しており、ドラフト本体の版番号変更を伴う改訂は後続月(特に 12 月の Draft -04 公開)に集約される運用であった。月内に ML 上で展開された主要な技術論点・運営論点は以下のとおり。

2-1. FAPI 2.0 Security Profile WGLC 起動(Dave Tonge、4/24)

ML #003097 (Dave Tonge, 2024-04-24 17:01 UTC)4 月の最重要投稿 である。FAPI WG Co-Chair として Tonge は次の趣旨を WG に告知した。

  • 「we have resolved all remaining issues for the FAPI2 security profile」: FAPI 2.0 Security Profile の outstanding issues を解決したと宣言
  • 対象ドラフト URL: https://openid.bitbucket.io/fapi/fapi-2_0-security-profile.html
  • issue 提出締切: 2024-05-06(WGLC レビュー期間の閉じ目)
  • WGLC は Public Review 移行および Final 化の前段 に位置する手続きである

WGLC は OpenID Foundation の標準プロセスにおいて、ドラフト仕様が WG 内で「完成した」と Chair が判断したタイミングで開く WG メンバー向けの最終レビュー機会である。WGLC を通過すると、続いて 60 日間の Public Review (より広い OIDF メンバーシップ + 外部レビュー機会)、その後の Final 投票へと進む。4/24 の WGLC 起動は、FAPI 2.0 Security Profile が約 2 年に及ぶエディタ作業の集大成として Final 化への正式手続きに乗ったことを意味する イベントであり、これによって 5 月以降の Rifaat Shekh-Yusef の 6 項目コメント投函 → Issues #690〜#698 の集中起票 → 5/29 Tonge による 5 本の Final 化 PR 整理という展開が連続的に始動する。

Gail Hodges (OIDF Executive Director) は ML #003098 (4/24 18:26 UTC) で「過去数ヶ月(数年)にわたる貢献への感謝」とともに WGLC 起動を歓迎し、後の Final 化に向けた渉外活動の基盤を整える側からの呼応を示した。

2-2. WGLC スコープ拡張: Security Profile から Attacker Model への波及(Brian Campbell → Dave Tonge、4/26〜4/30)

WGLC 起動から 2 日後の ML #003100 (Brian Campbell, 2024-04-26 21:01 UTC) は、本月の規範手続きにおける 最も重要な軌道修正 を引き起こした。Campbell の論点は次の単純だが決定的なものである。

Since the FAPI 2 Security Profile has a normative dependency/reference to the FAPI 2.0 Attacker Model, should both documents not be advanced to final status together?

つまり「Security Profile が Attacker Model を normative reference として参照している以上、Security Profile 単独を Final 化することはできず、Attacker Model も同時に Final 化のプロセスに乗せる必要があるのではないか」という手続き整合性の指摘である。OpenID Foundation の Final 化プロセスでは、normative reference 先が Final になっていない仕様を Final にすることは規範整合性上問題となる(参照先が後に変更され得る不安定な reference に Final 仕様が依拠することになる)。

Campbell 自身は同日続いて投函した ML #003101 (4/26 22:18 UTC) で、WGLC レビューの実質作業として PR #486〜#490 の 5 本 を提出済みで指摘事項は軽微 ("relatively minor issues") と報告している。「Issue を立てるよりも直接 PR で修正提案する方が早い」という Campbell の運用判断は、Final 化前の編集修正フェーズにおいて妥当な選択である。

Tonge は ML #003105 (4/30 08:38 UTC) で Campbell の手続き論に同意し、続いて ML #003106 (同日)WGLC の対象を Security Profile + Attacker Model のペアに拡張する 形で再周知を行った。再周知メッセージは以下を含む。

  • Security Profile: https://openid.bitbucket.io/fapi/fapi-2_0-security-profile.html
  • Attacker Model: https://openid.bitbucket.io/fapi/fapi-2_0-attacker-model.html
  • レビュー締切: 2024-05-06(変更なし)

この経緯は、Final 化を Profile 単独で進めるのか、Profile + Attacker Model の同時昇格として進めるのかという、Implementer's Draft から Final へ移行する局面で構造的に発生する手続き判断 を、WG メンバーの指摘によって 1 週間以内に正しい方向へ調整できた事例である。後の 5 月の WGLC 集中審議では Security Profile を主軸としつつも、Brian Campbell が立てる Issue #691(Attacker Model §5.1/§7.1/§8.1 のプレースホルダ見出し撤去)など Attacker Model 側の編集論点も並走で処理されることになる。

2-3. FAPI 2 Explanatory Report for ISO PAS レビュー依頼(Mark Verstege、4/23)

ML #003095 (Mark Verstege, 2024-04-23) は、FAPI 2 を ISO Publicly Available Specification (PAS) として正式提出する手続きの起草レビュー を WG に呼びかけた投稿である。Verstege は次の要点を提示した。

  • 対象仕様 3 本: FAPI 2.0 Security Profile / FAPI 2.0 Attacker Model / Financial-grade API: Client Initiated Backchannel Authentication Profile (FAPI CIBA)
  • 「最終版を ISO に提出する意図であり、Implementer's Draft を提出するのではない」 (The intention is to submit the final versions of the FAPI 2.0 specifications to ISO, not the Implementer's Drafts.) — つまり 4/24 起動の WGLC を経て Final 化された版を ISO 提出する設計
  • WG 内レビュー締切: 2024-04-26 (金) 終日
  • PAS mentor 送付目標: 4 月末から 5 月上旬
  • 現状で web location 参照が Implementer's Draft 段階を示しているため、Final 化後に web location を更新する旨を注記
  • 参考用に ISO フォーマットを反映したサンプル文書を同梱

ISO PAS プロセスは、業界コンソーシアム策定標準を ISO 標準として fast track 採択するためのルートであり、ISO の国内代表機関(日本の場合は日本工業標準調査会 JISC、Australia の場合は Standards Australia 等)を通じて投票・採択が行われる。Verstege は Australian Consumer Data Right (CDR) の規格関係者として OIDF の Corporate Representative を兼ねており、Australian Government の DSB (Data Standards Body) が FAPI 2 を ISO 標準として参照しやすくする という具体的な実装側ニーズが、本 Explanatory Report 起草の背景にあることが推察される。

並行する FAPI 1.0 (+ JARM) の ISO PAS Submission Draft レビューは翌 5/1 に Hodari McClain が ML 投函(2024-05 月次レポート §2-9 参照)するため、4 月の Verstege Explanatory Report ドラフト化と 5 月の McClain Submission Draft レビュー → ISO PAS mentor 送付という流れが、FAPI 1 / FAPI 2 双方を ISO 標準化プロセスに乗せる並走ストリーム として展開する。

2-4. Issue #689: FAPI + FedCM(Joseph Heenan、4/12)

ML #003091 (Joseph Heenan, 2024-04-12) は、W3C Federated Identity Credential Management (FedCM) API と FAPI / Open Banking エコシステムの連携可能性 を WG に提起した技術投稿である。Heenan の問題提起は 2 つの軸から成る。

第 1 に ブラウザ互換性 の問題。Heenan は次のように指摘した。

Browsers will break OAuth2 flows when they block the use of link decoration user tracking, and FedCM is the fix for this.

ブラウザベンダー (Chrome / Safari 等) が user tracking 防止のために link decoration (URL fragment / query parameter による cross-site tracking) を制限する方向に進む中で、OAuth 2.0 の Authorization Code Flow をはじめとする redirect ベースのフローが影響を受ける懸念が業界的に共有されつつあった。FedCM はブラウザがネイティブに Federated Identity リクエストを処理する仕組みであり、Heenan の見立ては 「link decoration ブロックによる OAuth フロー破綻に対する公式な救済パスは FedCM である」 というものである。

第 2 に UX 改善 の論点。FedCM はブラウザ / OS が「過去に利用した Identity Provider のキュレートリスト」を表示する機能を備えており、これは Open Banking の文脈において重要な意味を持つ。Heenan は具体例として「UK では 40 以上の銀行から、Brazil では 100 以上の銀行から選択する必要がある『nascar issue』」を挙げ、FedCM の curated provider list が UX の本質的改善につながり得ると指摘した。

ただし Heenan は同時に 「現状の FedCM 実装は OpenBanking / FAPI ユースケースを完全には満たしていない」 ことを認め、銀行・フィンテック関係者に W3C Federated Identity Community Group への参加を呼びかけて FedCM 仕様の方向性に Open Banking 側のニーズを反映することを促した。

本 Issue は FAPI Final 化作業の直接的論点ではないが、Web 標準と FAPI のクロスオーバー という長期的に重要な軸を WG ML 上に公式に持ち込んだ最初期の投稿として記録に値する。後年、ブラウザの 3rd party cookie 廃止・Storage Partitioning 進展と歩調を合わせる形で、FAPI / Open Banking エコシステムが FedCM ベースのフローを検討する流れの起点となった。

2-5. Anders Rundgren の OID4VP / EU Payment 懐疑論(4/26)

ML #003099 (Anders Rundgren, 2024-04-26 16:23 UTC) は、Rundgren の継続的な「OAuth / OpenID は payment authorization に適しているか」論争の 4 月時点でのスナップショットである。投稿は OID4VP の variant presentations に関する技術的懸念から始まり、EU の Open Banking 統合アプローチへの懐疑論に展開した。Rundgren の論点骨子は次のとおり。

  • 既存の payment authorization スキームは variant presentations を許容しないのが通例で、それには正当な理由がある (existing payment authorization schemes do (AFAIK...) not permit variant presentations and IMO for good reasons.)
  • OID4VP の柔軟な presentation アプローチは技術的には興味深いが、確立した payment authorization 実務との整合性に疑問
  • EU Digital Identity Wallet 仕様の複雑性が完全理解を妨げているとしつつ、GitHub の関連リポジトリを参照として提示

Rundgren の論点は WG 内で広く合意を得るものではなかったが、月末から翌 5 月にかけて Rundgren が EU Payment Wallet / Berlin Group / OID4VP の各論点を継続的に ML に投函するスレッドの起点となった(5 月の継続については 2024-05 月次レポート §4 参照)。

3. ミーティングと議論

FAPI WG は 2024 年 4 月時点で Atlantic コール(水曜 14:00 UTC、隔週運用)と Pacific コール(隔週 Friday / Wednesday、Asia-Pacific 帯)の 2 系統を運用していた。Bitbucket wiki 上の議事録ページ(FAPI_Meeting_Notes_2024-04-XX_Atlantic 系統)は SPA レンダリングのため本記事執筆経路で本文を直接抽出できないが、ML 投稿のアジェンダ・リマインダー・事後報告から各コールの開催状況と議論内容を再構成する。

4 月の Atlantic コール開催記録は 4/3、4/10、4/17、4/24 の計 4 回(隔週運用ペース)であり、ML リマインダー投稿および事後報告から開催が確認できる。Pacific コールは Anoop Saxena (Intuit) 案内で 4/4 と 4/18 に開催、4/29 に Brian Campbell が Pacific コール定例時刻を 6pm MST → 7pm MDT へ変更する旨を周知し、5/2 開催予定の Pacific コールは中止となった(ML #003102)。

2024-04-03 Atlantic コール(月初定例)

ML #003086 (Nat Sakimura, 2024-04-03 13:36 UTC) は開催 30 分前の遅めのリマインダーで、デフォルトアジェンダ(Roll Call / Adoption of Agenda / Events / External Orgs & Liaisons / Pull Requests / Issues / AOB)が示された。実質的な議論内容は ML 上に投稿されていないが、4/12 に Joseph Heenan が FedCM 関連 Issue #689 を起票する流れから、コール内で FedCM / Browser 標準と FAPI の関係に関する初期議論が行われた可能性がある。

2024-04-04 Pacific コール(Sakimura 欠席回)

ML #003087 (Anoop Saxena, 4/4) で 4/4 17:00 PT 開催が予告されたが、Sakimura は ML #003088 (同日 23:51 UTC) で「フライト中のため出席不可」と表明。Anoop Saxena (Intuit) が Pacific コール側の運営を担う体制が確認できる。

2024-04-10 Atlantic コール(Issue #686 議論回)

ML #003089 (Nat Sakimura, 4/10 13:02 UTC) で開催 1 時間前リマインダー。これに対する ML #003090 (Jacob Ideskog, 4/10 13:51 UTC) は欠席連絡だが、「There has been some discussion about issue 686 but nothing conclusive.」 と記し、Issue #686 をめぐる WG 内議論が ML 外で発生していたが結論には至っていない状況を伝えている。Curity AB(Ideskog の所属)は FAPI / OAuth 実装で著名なベンダーであり、ML 外議論の存在は実装者間の非公式チャンネル(GitHub PR レビューや個別連絡)での意見交換が並走していたことを示唆する。

2024-04-17 Atlantic コール(IIW 38 出席薄回)

ML #003092 (Nat Sakimura, 4/17 12:52 UTC) は開催 70 分前リマインダーで、「a bunch of us are at IIW so I am not sure how many will be calling in but I will start the call in 70 min anyways. I would love to clear PRs from Dima at least so that we can submit it to IANA.」 という重要な情報を含む。Sakimura が (i) FAPI WG メンバーの相当数が IIW 38 (4/16〜4/18) に現地参加していたこと、(ii) コール内で取り組むべき主要作業として Dima Postnikov の PR 群を IANA 提出可能な状態に進める という具体的目標を示した。IANA への提出は、FAPI 仕様内で定義する OAuth 2.0 関連の registered value(例: iss parameter response の挙動関連、token 関連 metadata 等)を OAuth 2.0 IANA registry に登録する手続きを指す。

コール終了直後 ML #003093 (Sakimura, 4/17 14:47 UTC) では「出席が薄いため予定より早くコール終了」と報告し、議事録ドラフトを Bitbucket wiki に作成済みと案内した。IIW 38 の現地集合が WG 公式コールの出席を一時的に圧迫した ことが、本月の運営上の特徴である。

2024-04-18 Pacific コール

ML #003094 (Anoop Saxena, 4/18) で 4/18 17:00 PT 開催が周知された。IIW 38 開催期間中(4/16〜4/18)の最終日と重なるため、Bay Area に滞在中の Pacific コール参加者が現地と Zoom の混合で参加した可能性がある。

2024-04-24 Atlantic コール(WGLC 起動回)

ML #003096 (Nat Sakimura, 4/24 13:12 UTC) は開催 50 分前リマインダー。コール終了直後 17:01 UTC に Dave Tonge が FAPI 2.0 Security Profile WGLC を起動 する ML #003097 を投函しているため、コール内で WGLC 起動についての WG 内合意が取られ、Tonge がコール直後に正式アナウンスを出した、と再構成するのが自然である。続いて 18:26 UTC に Gail Hodges が ML 上で WGLC を歓迎する ML #003098 を投函しており、4/24 Atlantic コール → WGLC 起動 → OIDF 上層部による歓迎呼応 → Final 化に向けた渉外連携の準備 という連続した動きが同日内に展開した。

このコールはまた、WG 内で「Security Profile を WGLC に乗せる」と決定するに足る合意が成立していたという意味で、FAPI 2.0 Security Profile が Implementer's Draft から Final へ移行する正式な節目 の事実上のキックオフ会合と位置付けられる。

4. メーリングリストの主要スレッド

2024 年 4 月の openid-specs-fapi ML は全 23 件の投稿を含み、WGLC 起動・ISO PAS Explanatory Report 依頼・FedCM 関連 Issue 起票・Pacific コール時刻調整・コール運営リマインダーの 5 種類で大半が構成される。技術的・運営的に重要なスレッドは以下のとおり。

Working Group Last Call - FAPI 2 Security Profile - Final — 4/24 起動 → 4/30 拡張 Dave Tonge / Gail Hodges / Brian Campbell

ML #003097 (Tonge, 4/24)ML #003098 (Hodges, 4/24)ML #003100 (Campbell, 4/26)ML #003101 (Campbell, 4/26)ML #003105 (Tonge, 4/30)ML #003106 (Tonge, 4/30) という 6 投稿スレッドは、4 月の最重要スレッド である(§2-1, §2-2 で詳述)。WGLC 起動から 6 日で Attacker Model を含むペア昇格へとスコープが拡張され、Brian Campbell の PR #486〜#490 が早期に投入されることで、Final 化に向けた具体的編集修正が WGLC 期間内に進行する体制が整った。本スレッドは 5 月以降の Rifaat 6 項目コメント投函と Issue #690〜#698 集中起票の前提条件として機能する。

For review: FAPI 2 Explanatory Report for ISO PAS — 4/23 Mark Verstege

ML #003095 (Verstege, 4/23) 単発スレッドは、FAPI 2 を ISO PAS として提出するための Explanatory Report ドラフトの WG 内レビュー依頼 である(§2-3 で詳述)。Security Profile / Attacker Model / CIBA の 3 本を Final 化後に ISO に提出する設計、4/26 締切、PAS mentor 送付目標 4 月末〜5 月上旬という具体的タイムラインが提示された。本投稿の ML 上での明示的応答は確認できないが、翌 5 月初週の Hodari McClain による FAPI 1.0 + JARM の Submission Draft レビュー依頼に接続する OIDF の ISO 連携プロセスの一部として、4 月時点で実務作業が動いていたことを記録する。

Issue #689: FAPI + FedCM — 4/12 Joseph Heenan

ML #003091 (Heenan, 4/12) 単発スレッドは、W3C FedCM API と FAPI / Open Banking の連携可能性 を WG ML に公式に持ち込んだ最初期の投稿である(§2-4 で詳述)。Browser 互換性(link decoration ブロックによる OAuth フロー破綻への救済パス)と UX 改善(「nascar issue」の解消)の 2 軸で FedCM の意義を整理し、銀行・フィンテック関係者を W3C Federated Identity Community Group に呼び込む方針を提示した。本投稿は WG ML 内で直接の応答スレッドを形成せず、Bitbucket Issue #689 側の議論に移行したと推察される。

Atlantic コール運営リマインダー群 — 4/3 / 4/10 / 4/17 / 4/24 Nat Sakimura

ML #003086 / #003089 / #003092 / #003096 の Sakimura による各 Atlantic コール開催リマインダー群は、デフォルトアジェンダ(Roll Call / Adoption of Agenda / Events / External Orgs & Liaisons / Pull Requests / Issues / AOB)が 4 月中に変更なく維持されたことを示す。4/17 リマインダーは特に 「IIW 参加者多数 / Dima PR の IANA 提出準備」 という具体的議題を含み、コール議題が単なる定型運営ではなく具体的作業目標を伴っていたことが分かる。

Pacific コール時刻調整スレッド — 4/29 / 4/30 Brian Campbell / Mike Leszcz / Dave Tonge

ML #003102 (Mike Leszcz, 4/29)ML #003103 / #003104 (Brian Campbell, 4/29)ML #003196 / #003197 (Tonge, 4/30) のスレッド群は、Pacific コールの定例時刻を 6pm MST から 7pm MDT へ変更し、5/2 開催予定の Pacific コールを中止する 運営判断を周知したものである。MST から MDT への変更は北米サマータイム入り(4 月)に伴う通常調整である。Pacific コール参加者層は Asia-Pacific 帯(特に Australia の CDR エコシステム関係者)が中心であり、サマータイム調整は彼らの参加時間帯に直接影響するため WG として丁寧に周知する性質を持つ。

OpenID - Verifiable Presentations — 4/26 Anders Rundgren

ML #003099 (Rundgren, 4/26) 単発スレッドは Rundgren の継続的な「OAuth は payment authorization に適しているか」論争の 4 月時点でのスナップショットである(§2-5 で詳述)。WGLC 起動と同週に投函されたが、議論の主軸は OID4VP / EU Wallet 側にあり、FAPI WG 全体の応答スレッドは形成されなかった。

5. Issue トラッカー上の動き

FAPI WG の Issue トラッカーは Bitbucket (bitbucket.org/openid/fapi/issues) で運用されている。Bitbucket Cloud は SPA レンダリングのため Issue 本文の直接取得経路は限定的だが、対応する ML 投稿から内容を把握できる。

2024 年 4 月に ML 上で起票・周知・言及が確認できる Issue / PR は以下である。

  • Issue #686 — 4/10 時点で WG 内に議論があるが結論には至っていない (Jacob Ideskog の ML #003090 言及)。Issue 番号と「結論未到達」のみが ML 上で確認可能。後の 5 月以降の Issue #690〜#698 集中起票には現れない番号帯であり、4 月中もしくはその後に解決されたと推察される
  • Issue #689: FAPI + FedCM — Joseph Heenan、2024-04-12 ML 周知(§2-4)。W3C FedCM API と FAPI / Open Banking 連携の可能性を提起
  • PR #486〜#490(FAPI 2.0 Security Profile 関連の編集修正 PR 5 本) — Brian Campbell、2024-04-26 投入。WGLC レビュー結果として軽微な修正を Issue 化せず直接 PR 化(ML #003101 言及)

5 月の Issue 起票密度(#690〜#698 の 9 件)と比較すると、4 月は WGLC 起動前後の準備期間として Issue 数自体は少なく、その代わり PR ベースの編集修正と手続き整理(Attacker Model 含めるか否か)が議論の主体 であった月といえる。これは FAPI WG が「WG 内合意が取れている要件群」を WGLC に乗せ、WGLC 期間中に外部レビュアーからのコメントを Issue 化していく標準的フローに沿った動きである。

GitHub openid/fapi リポジトリは Bitbucket の公開ミラー的位置付けで、編集ワークフローの主軸は引き続き Bitbucket 上の PR / Issue で運用されていた。

6. 関連イベント

4/1: OpenID for Verifiable Credential Issuance 1.0 Implementer's Draft 1 承認

Implementer's Draft of OpenID for Verifiable Credential Issuance Approved が 4/1 に公示された。OIDF メンバーシップ投票で賛成 79 / 反対 2 / 棄権 12、投票総数 93(321 メンバーの 29%、定足数 20% 達成)。FAPI WG が直接策定する仕様ではないが、後の Wallet エコシステムが FAPI / OpenID Federation と接続する基盤の一つであり、OIDF 全体の標準化パイプラインにおける重要な月初イベントとして記録される。

4/15: OpenID Foundation Hybrid Workshop at Google (Sunnyvale)

OpenID Foundation Workshop at Google - Monday, April 15, 2024 が Google Sunnyvale キャンパス(242 Humboldt Ct, Sunnyvale, CA 94089)で 12:30〜16:00 PT にハイブリッド形式で開催された。Nat Sakimura (OIDF Chairman) の Welcome(12:30〜12:35)に始まり、7 WG・1 CG の活動アップデート、認証プログラム update、Sustainable Identity Hub update、Listening Session 2 件(Post-Quantum Computing & Identity / AI & Identity)で構成された。

FAPI WG Update は Nat Sakimura 担当で 13:20〜13:35 PT の 15 分枠。Workshop 公開アジェンダには発表内容の詳細は記載されていないが、月後半の WGLC 起動(4/24)が控えていたこと、ISO PAS 提出準備(4/23 Verstege Explanatory Report レビュー依頼)が動き始めていたこと、FedCM 連携可能性(4/12 Heenan Issue #689)が ML に提起されていたことを踏まえると、これらの進捗報告と Final 化に向けたロードマップ提示が中心議題と推察される。

4/16〜4/18: Internet Identity Workshop XXXVIII (IIW 38)

Internet Identity Workshop XXXVIII (IIW 38) が 4/16〜4/18 に Mountain View Computer History Museum で開催された。Open Space unConference 形式で keynote / panel なしのアジェンダゼロ式運営。FAPI WG メンバーの相当数が現地参加したことが 4/17 Sakimura の Atlantic コール案内 ML 投稿(ML #003092)の「a bunch of us are at IIW」記述から確認できる。

OIDF 関連で確認できる主要セッションのうち、FAPI / Federation 領域で特筆すべきは Mike Jones・John Bradley 共同主催の Trust Establishment with OpenID Federation (4/18 開催)。Mike Jones の self-issued.info 報告によれば、「Numerous people with trust establishment problems to solve contributed, including experts from the SAML federation world, people involved in digital wallet projects, and several people already using or considering using OpenID Federation」という参加者構成で、SAML フェデレーション関係者・デジタルウォレットプロジェクト関係者・OpenID Federation 採用検討者が同席して活発な議論が交わされた。FAPI 仕様自体は OpenID Federation を normative reference として直接参照していないが、Brazil Open Finance や UAE Open Banking など複数の Open Banking エコシステムが Federation を採用 / 検討しているため、Federation 仕様の進展は FAPI 採用エコシステムにとって運用上の関心事である。

IIW 38 期間中の現地 face-to-face 議論は WG 公式コールの ML 議事録に反映されないが、4/17 Atlantic コールの出席薄および 4/19 (翌日) の DCP WG Bay Area Hybrid Meeting 開催(2024-04 ESCG 月次レポート §6.3 参照)と合わせて、Bay Area 滞在期間中に複数 WG 関係者が face-to-face で意見交換できる集中期間が形成されていた ことが本月の特徴である。

4/26: Shared Signals ブログ公開

Shared Signals: Enhanced Security for All が 4/26 に OIDF 公式ブログとして公開された。3 月開催の Gartner IAM Summit London における Shared Signals Framework / CAEP の interop demo(Okta・SailPoint・Cisco・SGNL・VeriClouds・Helisoft 6 社参加)の事後ブログ化である。FAPI WG とは直接関係しないが、OIDF の他 WG の interop 段階到達を示すブログとして記録に値する。

7. 今後の予定

2024 年 4 月完了直後の視点で、当時 WG が次月以降に予定していた動きは以下のとおり。

  • FAPI 2.0 Security Profile + Attacker Model WGLC レビュー期間の継続: 4/24 起動 (Security Profile) → 4/30 拡張 (Attacker Model 追加) → 5/6 issue 提出締切。WG メンバーからの追加コメント提出を待つ
  • WGLC コメントの Issue 化作業: WGLC 期間中に提出されるコメントを Bitbucket Issue として個別追跡可能な形に整理(5 月初週の Rifaat Shekh-Yusef 6 項目コメント投函と Issue #690〜#698 連投がこれに該当)
  • Brian Campbell の PR #486〜#490 のマージ: 4/26 投入分の編集修正 PR を WGLC 期間中にマージ
  • FAPI 2 Explanatory Report for ISO PAS の PAS mentor 送付: Mark Verstege 起草分を 4 月末〜5 月上旬に送付。Final 化後の web location 更新を別途調整
  • FAPI 1.0 + JARM の ISO PAS Submission Draft 起草: 翌 5/1 に Hodari McClain が WG 内レビュー依頼を ML 投函(既定)
  • WGLC 通過後の Public Review 移行準備: WGLC を完了次第、60 日間の Public Review を OIDF 全体に開放
  • Final 投票準備: Public Review 完了後の Final 投票へ向けた手続き整備
  • Atlantic コール継続: WGLC 集中審議期間に対応するためコール頻度を高める可能性(実際に 5 月は事実上の週次開催となる)
  • Issue #689 FAPI + FedCM の継続検討: W3C Federated Identity Community Group との接続をどう実現するか、銀行・フィンテック関係者の参加を促す
  • Dima Postnikov の PR 群の IANA 提出: 4/17 Atlantic コールで言及された IANA registry 関連の編集作業継続

8. 参考情報源

メーリングリスト

議事録 (Bitbucket wiki)

  • FAPI Meeting Notes Wiki (Bitbucket) — 議事録所在(FAPI_Meeting_Notes_2024-04-03_AtlanticFAPI_Meeting_Notes_2024-04-10_AtlanticFAPI_Meeting_Notes_2024-04-17_AtlanticFAPI_Meeting_Notes_2024-04-24_Atlantic、Pacific 4/4・4/18 分)

Issue トラッカー (Bitbucket)

OpenID Foundation 公式アナウンス

関連イベント

仕様

関連リソース(OpenID Foundation)

関連月次レポート